Según las últimas investigaciones, Brasil se encuentra entre los países con mayor incidencia de ataques cibernéticos, específicamente ataques de ransomware. No hace falta decir cuánto dependemos de la tecnología.
La información personal y las bases de datos son objetivos constantes. Cuanto mayor sea la base de datos de una empresa, mayor será el valor del rescate.
Pero, al fin y al cabo, ¿qué es el ransomware y cómo funciona?
El ransomware es un tipo de malware mediante el cual los delincuentes “secuestran” los datos a través del cifrado, dejándolos inaccesibles para los usuarios, las redes corporativas y los servidores o almacenamientos de empresas y particulares.
¿Sabías que los ataques virtuales han sido durante años uno de los principales problemas que afectan a la mayoría de las empresas que utilizan almacenamiento de datos en disco, tanto local como en la nube?
Somos el segundo país con el mayor nivel de ataques en todo el mundo, debido a la falta de seguridad, la falta de inversión y la negligencia en la protección online.
En los últimos años, los antivirus corporativos han demostrado ser cada vez más eficaces contra los ataques de malware, cumpliendo su función de proteger o eliminar virus en servidores, ya sean físicos o virtuales.
Sin embargo, surgió un nuevo método de invasión: a través de puertos abiertos que instalan códigos maliciosos y que muchas veces pasan desapercibidos tanto por los sistemas de seguridad como por los administradores del entorno.
Según una investigación realizada por la especialista en ciberseguridad y directora de marketing, Sally Adam:
«El 94% de las organizaciones cuyos datos fueron cifrados lograron recuperarlos. Más del doble de los datos se recuperaron mediante copias de seguridad (56%) que entre aquellos que optaron por pagar el rescate (26%).»
Fuente: https://news.sophos.com/pt-br/2020/05/12/o-estado-do-ransomware-2020/
El primer ataque de ransomware de la historia
El ransomware es altamente sofisticado y está ampliamente difundido en internet. Pero la idea de secuestrar información surgió hace mucho tiempo.
El primer ataque ocurrió en 1989, realizado por Joseph L. Popp, un biólogo con doctorado en Harvard. Se aprovechó del brote de SIDA de los años 80 para propagar su ransomware.
Durante esa época, la información sobre el virus del SIDA se difundía ampliamente. Joseph tenía las listas de suscriptores de la conferencia de la OMS y de la revista PC Business World.
Con esas listas, envió a los suscriptores un disquete titulado “disquete introductorio de información sobre el SIDA”, lo que naturalmente despertó la curiosidad.
Junto con el disquete, se incluía un documento con instrucciones de instalación. En el contrato de licencia se especificaba que al instalar el programa, el cliente aceptaba pagar 378 USD a la empresa.
Tras un tiempo, el programa se activaba cifrando los archivos del ordenador y mostrando un mensaje en pantalla indicando que el período de prueba había finalizado y que el pago era necesario para liberar los datos.
Ese ransomware fue conocido como Trojan AIDS. Su sistema era relativamente simple: usaba cifrado simétrico, es decir, la misma clave para cifrar y descifrar, la cual estaba registrada en el propio programa.
Para eliminar el virus, solo hacía falta encontrar la clave dentro del programa y utilizarla para descifrar los datos.
Al ser descubierto, Joseph Popp fue arrestado. Abrió un enorme precedente para un nuevo tipo de crimen: el crimen cibernético.
La evolución del ransomware
Desde ese primer ataque de Joseph Popp, los datos se convirtieron en objetivos lucrativos para los ataques.
Pero como la tecnología evoluciona constantemente, el ransomware también tuvo que hacerlo. Con el tiempo, se volvió más eficiente y más perjudicial para sus víctimas.
Criptomalware
Aunque el Trojan AIDS atrajo atención, la idea del ransomware resurgió en 1995. El objetivo era perfeccionar la idea original, haciéndola más difícil de revertir y más rentable para los cibercriminales.
Los nuevos ransomware comenzaron a usar cifrado asimétrico, a diferencia del Trojan AIDS que usaba la misma clave para cifrar y descifrar. Ahora utilizaban dos claves diferentes: una para cifrar y otra para descifrar. Este tipo se conoció como criptomalware.
La idea de recibir el rescate en moneda digital surgió en esa época, incluso antes de la invención de las criptomonedas. Fue una visión futurista.
Ransomware bloqueadores
La evolución del ransomware continuó. A partir de 2007, surgieron los ransomware bloqueadores, que interferían en el funcionamiento del ordenador, bloqueándolo completamente.
Aparecía un mensaje en pantalla exigiendo un pago para desbloquear el sistema. Sin embargo, era posible desbloquearlo sin pagar el rescate; un buen programador podía hacerlo.
Ransomware híbrido
Para superar esa debilidad, en 2013 apareció un ransomware híbrido, que combinaba el bloqueo del sistema con el criptomalware.
Además de bloquear el ordenador, también cifraba los datos. Así, aunque se lograra desbloquear el sistema, los archivos seguirían inaccesibles.
En este punto, ya se usaban criptomonedas para pagar los rescates.
El ransomware continuó evolucionando, y en 2016 comenzó un crecimiento exponencial de ataques.
El ransomware comenzó a comercializarse ampliamente. Ya no era necesario ser programador, bastaba con saber cuál ransomware necesitabas y comprarlo. Esta industria se volvió altamente lucrativa.
Hoy en día, el ransomware está ampliamente difundido en todo el mundo. No pienses que solo las empresas son objetivo, aunque sean los más lucrativos.
Los datos de personas comunes también son atacados, y el robo de información confidencial se ha vuelto frecuente, exigiendo rescates para no divulgarla.
No te engañes pensando que internet es totalmente segura o que tus datos están protegidos. Los datos son blanco constante de bandas especializadas en delitos cibernéticos.
Brasil, objetivo constante de ataques de ransomware
Según una investigación realizada por SonicWall, una empresa de seguridad digital, Brasil se convirtió en 2020 en el sexto país más atacado por ransomware en el mundo, con más de 1 millón de ataques.
Según el estudio, en 2020 hubo una caída del 24% en los ataques de malware a nivel mundial en comparación con 2019. Pero Brasil fue en la dirección contraria. En junio de 2020 hubo un aumento repentino en el número de ataques, desafiando la tendencia mundial.
El STJ-RS (Tribunal de Justicia de Río Grande do Sul) sufrió el 28 de abril un ataque de ransomware a gran escala, y el sistema estuvo inaccesible durante 24 horas.
En una entrevista con Tilt, un sitio de tecnología, el juez Antonio Vinicius Amaro Silveira, del consejo de comunicación del TJ, declaró:
«Ya habíamos sufrido intentos de ataques, pero nunca uno de esta magnitud. Es algo sin precedentes.»
Principales vías de intrusión
Lo que ocurre con mayor frecuencia en los ataques perpetrados por bandas de ciberdelincuentes es que coordinan la estructura del malware a través de fallos de seguridad. Por ello, debes conocer las 6 puertas de entrada más utilizadas:
- Sitios con animaciones en Flash;
- Correos electrónicos con archivos adjuntos no verificados y enlaces maliciosos;
- Software malicioso como activadores de sistemas operativos (cracks y keygens);
- Acceso a enlaces y URLs con publicidad engañosa;
- Dispositivos obsoletos y sin actualizaciones;
- Puertos abiertos innecesarios con fallos de seguridad conocidos.
Una vez que entendemos las múltiples formas en que los hackers pueden invadir los sistemas, quizás el peor factor sea la negligencia, seguida de la falta de atención.
Hoy en día existen numerosos servicios de seguridad online como antivirus, endpoints, antimalware, etc. Pero es importante destacar que el mejor y mayor antivirus que existe es el propio usuario, quien también puede ser la mayor brecha de seguridad. Por eso, invierte en conocimiento en esta área.
Cuidar la seguridad de todo el ecosistema de una empresa también implica educar digitalmente a todos los colaboradores para que no hagan clic en spams o caigan en phishing.
Independientemente de la tecnología costosa o de equipos de infraestructura atentos y cuidadosos con todos los firewalls y protocolos de seguridad activos, si los colaboradores no navegan de forma responsable, todo el sistema estará comprometido.
Los tipos de ransomware más comunes
- WannaCry;
- CryptoWall;
- Locky;
- CryptoLocker;
- NotPetya;
- Dharma;
- Nemucod;
- CrySis;
- Ryuk;
- REvil Sodinokibi;
- Phobos;
- Rapid;
- Blobelmposter;
- Matrix;
- Bitpaymer;
- Samsam;
- Gandcrab;
- BlackMatter;
- PYSA;
- Conti;
- LockBit 2.0
- LockBit 3.0
- CLOP
- BlackCat
Entendiendo el mecanismo del ataque hacker
Una comparación simple: los datos cifrados son como los síntomas de una enfermedad, los ataques son parte de las causas de la infección y el ataque en sí es la enfermedad.
El objetivo principal de los hackers criminales, en la mayoría de los casos, es recibir pagos a través de transacciones con criptomonedas, y a cambio liberar las claves necesarias para descifrar los datos secuestrados.
Son raros los ataques que buscan únicamente causar daño y destruir los datos, impidiendo su recuperación.
Todo lo que hacen los hackers tiene una motivación detrás, normalmente financiera.
Los delitos cibernéticos realizados con ayuda de empleados malintencionados también forman parte de esta dinámica: estos colaboradores pueden recibir una comisión después de que la empresa decida pagar el rescate para recuperar sus datos.
Proceso de descifrado de ransomware
Digital Recovery cuenta con un equipo de especialistas multidisciplinarios que pueden ayudarte en el proceso de descifrado de los archivos afectados por ransomware.
Consideramos distintas posibilidades para que tu empresa pueda recuperar los datos cifrados en servidores, bases de datos o incluso en máquinas virtuales — incluso en casos donde no existía una copia de seguridad.
La estrategia más eficaz es no pagar a los hackers para recuperar el acceso a los datos, ya que muchas veces, además de quedarse con tu dinero, tampoco entregan todas las claves necesarias para el descifrado.
Pocas empresas realmente se dedican al perfeccionamiento de tecnologías capaces de recuperar datos cifrados por ransomware.
Por eso, para responder a las crecientes demandas de los ataques cibernéticos, nuestra empresa actúa como un puente seguro en medio de este escenario crítico.
El proceso de ingeniería inversa y las soluciones necesarias para recuperar los datos no son nada sencillos — muy lejos de lo que muchos medios de comunicación o supuestos especialistas afirman.
Digital Recovery, especialista en descifrado de ransomware
Contamos con laboratorios de investigación avanzados y especialistas en el desarrollo de tecnologías para recuperar archivos cifrados por ransomware, que actúan con estrategias definidas en un momento tan delicado para los usuarios y las empresas.
Ponte en contacto con nosotros y permítenos restaurar tus archivos. Somos reconocidos por mantenernos fieles a nuestra filosofía de que ¡siempre creemos que es posible!
Nuestras soluciones pueden realizarse de forma remota, lo que elimina la necesidad de enviar el dispositivo a uno de nuestros laboratorios, reduciendo considerablemente el tiempo de recuperación.
En tan solo 4 pasos, podrás iniciar el proceso de descifrado de archivos, sin necesidad de retirar el dispositivo de tu empresa.
Consulta con nuestro equipo comercial si tu caso permite realizar todo el procedimiento de forma remota.
Ponte en contacto ahora mismo y comienza el proceso de descifrado de tus archivos.
